Implementación de una actualización de calidad de hotpatch con Windows Autopatch
Con Windows Autopatch, puedes implementar actualizaciones de Windows en dispositivos en un inquilino de Microsoft Entra. En la actualidad, Windows Autopatch admite la implementación de actualizaciones de características de Windows 10/11, actualizaciones de calidad de hotpatch, actualizaciones de calidad aceleradas y actualizaciones de controladores. Este tema se centra en la implementación de actualizaciones de calidad de hotpatch. Para obtener información sobre cómo implementar actualizaciones de características, consulte Implementación de una actualización de características. Para obtener información sobre cómo implementar actualizaciones de calidad aceleradas, consulte Implementación de una actualización de calidad acelerada. Para obtener información sobre cómo implementar actualizaciones de controladores, consulte Administración de actualizaciones de controladores.
Las actualizaciones de hotpatch son actualizaciones de seguridad publicadas mensualmente que se pueden instalar sin necesidad de reiniciar el dispositivo. Está diseñado para reducir el tiempo de inactividad y las interrupciones. Al minimizar la necesidad de reiniciar, estas actualizaciones ayudan a proteger los dispositivos más rápido, lo que facilita a las organizaciones mantener la seguridad y mantener los flujos de trabajo ininterrumpidos.
No se requiere ningún cambio en las configuraciones de anillo de actualización existentes. Las configuraciones de anillo existentes se respetan junto con las directivas de hotpatch.
Requisitos previos
- Los dispositivos cumplen los requisitos previos para Windows Autopatch.
- Sistema operativo: los dispositivos deben ejecutarse Windows 11 24H2 o posterior.
- VBS (seguridad basada en virtualización): VBS debe estar habilitado para garantizar la instalación segura de actualizaciones de hotpatch.
Paso 1: (Opcional) Obtener una lista de actualizaciones de hotpatch
Puede consultar la API de catálogo de Windows Autopatch para obtener una lista de actualizaciones que se pueden aplicar a los dispositivos como contenido en una implementación.
El tipo qualityUpdateCatalogEntry representa actualizaciones de calidad.
Todas las actualizaciones de calidad hacen referencia a una lista de revisiones de productos. Agregue $expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions a la dirección URL de la solicitud para identificar qué sistema operativo compila cada actualización de calidad que afecta.
La "isHotpatchUpdate": "true" propiedad identifica una actualización de hotpatch cuando está disponible.
En el ejemplo siguiente se muestra cómo consultar todas las actualizaciones de calidad de Windows acortadas para mostrar la actualización de hotpatch.
Solicitud
En el ejemplo siguiente se muestra la solicitud.
GET https://graph.microsoft.com/beta/admin/windows/updates/catalog/entries?$top=1&$filter=isof('microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry') and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/isExpeditable eq true and microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions/any(p:p/isHotpatchUpdate eq true)&$expand=microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions&$orderby=releaseDateTime desc
Respuesta
En el ejemplo siguiente se muestra la respuesta.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/catalog/entries(microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/cveSeverityInformation/exploitedCves(),microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry/productRevisions(knowledgeBaseArticle()))",
"value": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateCatalogEntry",
"id": "894b1ab760d378438d23b4992466c716627f4dfcff64b31ccb311861ed081f24",
"displayName": "09/10/2024 - 2024.09 B SecurityUpdate for Windows 10 and later",
"releaseDate": "2024-09-10T00:00:00Z",
"deployableUntilDateTime": null,
"releaseDateTime": "2024-09-10T00:00:00Z",
"isExpeditable": true,
"qualityUpdateClassification": "security",
"catalogName": "2024-09 Cumulative Update for Windows 10 and later",
"shortName": "2024.09 B",
"qualityUpdateCadence": "monthly",
"cveSeverityInformation": {
"maxSeverity": "critical",
"maxBaseScore": 10,
"exploitedCves": [
{
"number": "CVE-2024-38014",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38014"
},
{
"number": "CVE-2024-38217",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38217"
},
{
"number": "CVE-2024-38226",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38226"
},
{
"number": "CVE-2024-43461",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43461"
},
{
"number": "CVE-2024-43491",
"url": "https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43491"
}
]
},
"productRevisions": [
{
"id": "10.0.22000.3197",
"displayName": "Windows 11, version 21H2, build 22000.3197",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "21H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22000,
"updateBuildRevision": 3197
},
"knowledgeBaseArticle": {
"id": "KB5043067",
"url": "https://support.microsoft.com/help/5043067"
}
},
{
"id": "10.0.19044.4894",
"displayName": "Windows 10, version 21H2, build 19044.4894",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "21H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19044,
"updateBuildRevision": 4894
},
"knowledgeBaseArticle": {
"id": "KB5043064",
"url": "https://support.microsoft.com/help/5043064"
}
},
{
"id": "10.0.19045.4894",
"displayName": "Windows 10, version 22H2, build 19045.4894",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "22H2",
"product": "Windows 10",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 19045,
"updateBuildRevision": 4894
},
"knowledgeBaseArticle": {
"id": "KB5043064",
"url": "https://support.microsoft.com/help/5043064"
}
},
{
"id": "10.0.22631.4169",
"displayName": "Windows 11, version 23H2, build 22631.4169",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "23H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22631,
"updateBuildRevision": 4169
},
"knowledgeBaseArticle": {
"id": "KB5043076",
"url": "https://support.microsoft.com/help/5043076"
}
},
{
"id": "10.0.22621.4169",
"displayName": "Windows 11, version 22H2, build 22621.4169",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "22H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 22621,
"updateBuildRevision": 4169
},
"knowledgeBaseArticle": {
"id": "KB5043076",
"url": "https://support.microsoft.com/help/5043076"
}
},
{
"id": "10.0.26100.1656",
"displayName": "Windows 11, version Win 11 24H2, build 26100.1656",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": true,
"version": "Win 11 24H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 26100,
"updateBuildRevision": 1656
},
"knowledgeBaseArticle": {
"id": "KB5043088",
"url": "https://support.microsoft.com/help/5043088"
}
},
{
"id": "10.0.26100.1742",
"displayName": "Windows 11, version Win 11 24H2, build 26100.1742",
"releaseDateTime": "2024-09-10T00:00:00Z",
"isHotpatchUpdate": false,
"version": "Win 11 24H2",
"product": "Windows 11",
"osBuild": {
"majorVersion": 10,
"minorVersion": 0,
"buildNumber": 26100,
"updateBuildRevision": 1742
},
"knowledgeBaseArticle": {
"id": "KB5043080",
"url": "https://support.microsoft.com/help/5043080"
}
}
]
}
]
}
Paso 2: Creación de una audiencia de implementación
Las audiencias de implementación especifican el contenido que se va a implementar, cómo y cuándo implementar el contenido y los dispositivos de destino. En el ejemplo siguiente se muestra cómo crear una audiencia de implementación.
Solicitud
En el ejemplo siguiente se muestra la solicitud.
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences
Content-Type: application/json
{
}
Respuesta
En el ejemplo siguiente se muestra la respuesta.
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#admin/windows/updates/deploymentAudiences/$entity",
"id": "f660d844-30b7-46e4-a6cf-47e36164d3cb",
"applicableContent": []
}
Paso 3: Asignación de dispositivos a la audiencia de implementación
Una vez creada la implementación, puede asignar dispositivos a la audiencia de implementación. Cuando la audiencia de implementación se actualiza correctamente, Windows Update ofrece la actualización a los dispositivos pertinentes según la configuración de implementación.
Cuando los dispositivos se agregan a las colecciones de miembros o exclusiones de una audiencia de implementación, el sistema los registra automáticamente mediante la creación de un objeto azureADDevice si aún no existe.
En el ejemplo siguiente se muestra cómo agregar Microsoft Entra dispositivos como miembros de la audiencia de implementación.
Solicitud
En el ejemplo siguiente se muestra la solicitud.
POST https://graph.microsoft.com/beta/admin/windows/updates/deploymentAudiences/f660d844-30b7-46e4-a6cf-47e36164d3cb/updateAudience
Content-type: application/json
{
"addMembers": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b1"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b2"
},
{
"@odata.type": "#microsoft.graph.windowsUpdates.azureADDevice",
"id": "fb95f07d-9e73-411d-99ab-7eca3a5122b3"
}
]
}
Respuesta
En el ejemplo siguiente se muestra la respuesta.
HTTP/1.1 202 Accepted
Paso 4: Creación de una implementación
Una implementación especifica el contenido que se va a implementar, cómo y cuándo implementar el contenido y los dispositivos de destino. Para las actualizaciones de calidad de hotpatch, el proceso prioriza la implementación de la actualización de seguridad más reciente para el público. Si la última actualización de seguridad de hotpatch no está disponible o los dispositivos no son elegibles, la implementación ofrece automáticamente la actualización acumulativa más reciente, lo que garantiza que los dispositivos reciban mejoras de calidad o seguridad actualizadas. Se respeta la directiva del lado cliente para el aplazamiento en el dispositivo.
El identificador de audiencia de implementación creado en el paso dos es necesario en este paso.
La "isHotpatchEnabled": "true" propiedad opta por que el público reciba actualizaciones de hotpatch cuando corresponda.
Solicitud
En el ejemplo siguiente se muestra la solicitud.
POST https://graph.microsoft.com/beta/admin/windows/updates/deployments
Content-type: application/json
{
"@odata.type": "#microsoft.graph.windowsUpdates.updatePolicy",
"audience": {
"id": " f660d844-30b7-46e4-a6cf-47e36164d3cb "
},
"autoEnrollmentUpdateCategories": [
"quality"
],
"complianceChangeRules": [
{
"@odata.type": "#microsoft.graph.windowsUpdates.contentApprovalRule",
"contentFilter": {
"@odata.type": "#microsoft.graph.windowsUpdates.qualityUpdateFilter",
"classification": "security",
"cadence": "monthly"
},
"durationBeforeDeploymentStart": "P7D"
}
],
"deploymentSettings": {
"@odata.type": "microsoft.graph.windowsUpdates.deploymentSettings",
"userExperience": {
"isHotpatchEnabled": true
}
}
}
Respuesta
En el ejemplo siguiente se muestra la respuesta.
HTTP/1.1 201 Created
Después de una implementación
Después de que se haya ofrecido inicialmente la actualización a todos los dispositivos asignados a una audiencia de implementación, es posible que no todos los dispositivos hayan iniciado o completado la actualización, debido a factores como la conectividad de dispositivos. Siempre que la implementación siga existiendo, garantiza que Windows Update ofrezca la actualización a los dispositivos asignados cada vez que se vuelvan a conectar.